23 minute read
CYBERSECURITY
Foto di Xpics da Pixabay
LA SICUREZZA È A VOLTE UN’ILLUSIONE
La percezione del rischio di attacchi mirati tra i Ciso è in calo, ma la crisi geopolitica in corso aumenta il pericolo reale, come sottolineato da Proofpoint.
Dopo un 2020 di corsa allo smart working, per le aziende il 2021 è stato ancora un anno di lavoro intenso, in cui è stato necessario spingere ulteriormente sul pedale dell’acceleratore per la digitalizzazione delle proprie attività. Ed è anche stato un anno di grande crescita degli attacchi informatici, specialmente quelli cosiddetti di supply chain, in cui software legittimi sono stati alterati in fase di sviluppo o di distribuzione per colpire l’utente finale. Il 2022 avrebbe potuto essere l’anno della quiete dopo la tempesta, ma è arrivata una tempesta ancor più grande: la guerra, con il suo contorno di crisi geopolitica e la nuova ondata di attacchi DDoS, cyberspionaggio, hacktivismo e ransomware realizzati come dimostrazione di forza. Una nuova, inaspettata cyberwar. Su un livello più basso si sono dispiegate ondate di
Luca Maiocchi phishing che con la guerra non avevano nulla a che fare, ma che ne sfruttavano i temi e l’onda emotiva. Secondo i monitoraggi del consorzio Anti-Phishing Working Group (Apwg), nei primi tre mesi di quest’anno il numero degli attacchi di phishing ha superato il milione, con una crescita del 15% rispetto al trimestre precedente; nello stesso lasso di tempo il furto di credenziali aziendali conseguente a phishing è salito del 7%.
Un anno tutt’altro che tranquillo
Se il phishing spesso rappresenta il primo anello di una catena di attacco, il ransomware può essere il passaggio finale. Escludendo momentanee fluttuazioni legale allo smantellamento di gang cybercriminali (che sono però pronte a rimescolarsi e riformarsi nel giro di poco tempo), il fenomeno continua a crescere. Nel suo ultimo report “State of Ransomware 2022”, Sophos evidenzia che lo scorso anno il 66% delle aziende (su una
RANSOMWARE, IL RISCATTO È LA PUNTA DELL’ICEBERG
Nel primo trimestre del 2022, dai monitoraggi di Check Point emerge che a livello globale ogni settimana è stata colpita da ransomware un’azienda su 53, e il dato è in ascesa del 24% rispetto alla proporzione di una su 66 del primo trimestre 2021. Da anni i ransomware (cioè gli attacchi informatici che esigono il pagamento di un riscatto in cambio della “liberazione” dei dati crittografati o dei sistemi bloccati in altro modo) sono in continua crescita e l’ennesima statistica sul tema ormai non stupisce più. Ma quel che oggi deve soprattutto preoccupare è la loro evoluzione qualitativa. Nella maggior parte dei casi, i gruppi cybercriminali hanno messo a punto un modus operandi che permette loro di agire con successo sia nell’attacco sia nelle procedure di “negoziazione” con la vittima. Prima di attivarsi, per esempio, fanno una stima accurata dello stato finanziario dell’azienda, poi chiedono un riscatto coerente con sue le entrate annuali, in percentuale compresa tra lo 0,7% e il 5% del giro d’affari, a detta di Check Point. Il riscatto è però solo una piccola parte del danno economico registrato: includendo i costi di risposta e ripristino, le spese legali, i costi di monitoraggio, la somma è fino a sette volte più alta. E poi c’è da considerare il danno di reputazione, molto difficile da quantificare se non a distanza di anni. Sul fenomeno ransomware, interessanti sono anche i dati di Sophos. Nel 2021 il 46% delle aziende colpite da attacchi crittografici ha scelto di cedere alla richiesta di pagamento. E il backup, non dovrebbe limitare i danni, permettendo di recuperare i dati senza doversi piegare al ricatto dei cybercriminali? Certamente è così, ma accade anche che le aziende scelgano di pagare lo stesso, magari per tornare immediatamente operative evitando danni economici da mancata attività o multe o reputazione rovinata. Anche quando il backup ha permesso di recuperare i dati, in un caso su quattro circa (26%) le aziende hanno pagato ugualmente.
rosa di 5.600 clienti di 31 nazioni) ha subìto almeno un attacco di questo tipo. Nel 2020 la percentuale era stata solo il 37%. Il dato più notevole riguarda però l’importo dei riscatti chiesti dagli autori degli attacchi: in un anno la cifra media si è quintuplicata, arrivando nel 2021 a 812.360 dollari. Inoltre risulta triplicata la quota di aziende che ha pagato riscatti pari a un milione di dollari o superiori. Phishing e ransomware sono minacce che tipicamente viaggiano sulla posta elettronica, ma altri vettori d’attacco non vanno sottovalutati. “Gli attacchi tramite social media contro le aziende continuano a crescere rapidamente”, ha spiegato John LaCour, principal product strategist di HelpSystems e membro di Apwg. In media, un’azienda viene colpita attraverso questo canale tre volte, e nel 47% dei casi la tecnica usata è lo spoofing, cioè la falsificazione dell’identità. “Molte aziende”, ha proseguito LaCour, “non si rendono conto che i loro dirigenti sono vittima di spoofing sui social media. Questo è un enorme rischio per il business”.
Il rischio di sottovalutare il rischio
Sembra dunque che i responsabili della cybersicurezza in azienda non possano dormire sonni tranquilli nemmeno in questo 2022. Eppure la percezione del rischio è in calo. Da una ricerca di Proofpoint (“Voice of the Ciso 2022”, condotta a inizio 2022 su 1.400 responsabili della sicurezza informatica di medie e grandi aziende di 14 Paesi) sono emerse significative differenze tra il presente e il recente passato. Nel 2021 il 64% dei Ciso italiani credeva che la propria azienda potesse subire un attacco informatico, mentre nel 2022 la percentuale è scesa al 46%; i numeri sono quasi gli stessi per la percezione del rischio di attacchi mirati, cioè 63% nel 2021 e 42% nel 2022. “In alcuni Paesi i Ciso oggi percepiscono un rischio minore rispetto all’anno scorso, in altri un rischio maggiore”, ha commentato il country manager di Proofpoint, Luca Maiocchi, a margine della presentazione della ricerca. “L’Italia è in media, mentre per esempio Francia e Canada percepiscono un rischio molto maggiore. Perché queste discrepanze? Laddove c’è maggiore maturità informatica, c’è anche maggiore consapevolezza del rischio”. Ma perché, in generale, la percezione del pericolo è in calo? L’ipotesi emersa dallo studio di Proofpoint è che i dipartimenti di cybersicurezza interni alle aziende abbiano ormai familiarizzato con le nuove modalità di lavoro introdotte nell’ultimo biennio, e dunque si sentano più pronti ad affrontare eventuali attacchi. “Fortunatamente la dinamica del lavoro da casa è stata abbracciata dai Ciso ma si è anche vista la dinamica della great resignation: le persone abbandonano le aziende in gran numero”, ha sottolineato Andrew Rose, resident Ciso di Proofpoint. “Nel 2022 abbiamo a che fare forse con il problema più grande di tutti: la crisi geopolitica. I Ciso devono capire come poterla gestire, si tratti dei loro uffici locali in Ucraina e Russia o di proteggersi dalle minacce derivanti dalla crisi”.
Valentina Bernocco
LE MINACCE INTERNE SONO IL PRIMO PROBLEMA
Le cosiddette minacce interne sono il principale problema di cybersicurezza percepito dai Ciso italiani. Secondo un’indagine di Proofpoint (di cui parliamo a pag. 27), nella rosa degli attacchi informatici che più preoccupano i danni causati dai dipendenti per negligenza o dolo sono al primo posto, citati dal 34% del campione italiano. Seguono il phishing, a poca distanza con una quota del 33%, le frodi originate da violazioni delle email aziendali (30%), i malware (28%), la violazione degli account cloud (Microsoft 365, Google Workplace o altri, 27%), i DDoS (20%), i ransomware (20%) e gli attacchi alla supply chain (18%). “I Ciso italiani mettono al primo posto il tema delle minacce interne, a conferma di quello che riscontriamo noi come vendor”, ha commentato Luca Maiocchi, country manager di Proofpoint. “Il timore dei ransomware è leggermente in calo, forse perché le nostre aziende si sono ormai abituate a trattare con questa minaccia”. I dipendenti, dunque, sono un rischio per l’azienda? Purtroppo sì, ma sono anche una risorsa importante. Per quante volte sia stato detto, all’interno di report, interviste e nei commenti degli analisti, il fatto che le identità siano diventate il nuovo perimetro digitale delle aziende, non è mai abbastanza sottolineato. L’uso estensivo di infrastrutture e applicazioni cloud, a cui si accede spesso tramite dispositivi personali e reti domestiche, ha reso sempre più vaga la distinzione tra il “dentro” e il “fuori”, tra ciò che fa parte o non fa parte delle risorse IT aziendali. Molti attacchi informatici, come il phishing e lo spoofing, intercettano l’ingenuità o le disattenzioni degli utenti per arrivare a sottrarre dati o a bloccare le attività di un’azienda. In altri casi il varco per i cybercriminali si apre grazie grazie a un dispositivo non aggiornato, su cui è installato un software vulnerabile. “Abbiamo chiesto se i dipendenti rappresentino il nuovo “perimetro” della sicurezza informatica, e dunque un fattore di rischio, volontario o involontario che sia”, ha spiegato Antonio Ieranò, evangelist cyber security strategy di Proofpoint. “In media, il 60% dei Ciso pensa che i dipendenti siano una componente fondamentale per la protezione del loro perimetro di sicurezza”. Ci sono settori, fa notare Ieranò, che solo di recente hanno cominciato a maturare questo genere di consapevolezza: come quello sanitario, oggi nel mirino degli attacchi informatici molto più di quanto non fosse in passato. In generale, la percezione del rischio derivante dal famigerato “fattore umano” non è ancora abbastanza forte. “Il World Economic Forum stima che il 95% dei problemi di sicurezza informatica sia imputabile a errori umani”, ha proseguito Ieranò. “Ma tra i Ciso questa percezione è intorno al 60%. Una differenza sensibile, segno che esiste ancora una distanza tra lo scenario reale dei rischi informatici e la loro percezione”. Nel report si evidenziano anche differenze tra un ambito e l’altro: nel settore dell’istruzione, in particolare, il divario tra percezione del rischio legato all’utente e la realtà è molto accentuato. V.B.
TRE PASSI PER LA SICUREZZA DEI CARICHI DI LAVORO IN CLOUD
I team DevOps possono migliorare la protezione dei workload che garantiscono la distribuzione e l'esecuzione delle applicazioni.
Il DevOps viene considerato un approccio “green” quando si tratta di pratiche di sicurezza. Gli sviluppatori sono generalmente concentrati sulle prestazioni e sulla distribuzione delle soluzioni, piuttosto che sulla loro protezione. Con il progredire della sicurezza dei carichi di lavoro nel cloud, dalla distribuzione all'adozione diffusa, fino all'ottimizzazione del runtime, i team DevOps devono implementare alcuni passaggi per garantire la corretta protezione dei loro progetti. Ma quali sono i passaggi fondamentali per i team DevOps per migliorare le loro difese di protezione dei carichi di lavoro nel cloud per la distribuzione ed esecuzione delle applicazioni?
Garantire una valutazione corretta
Il primo passo è assicurarsi che venga eseguita una valutazione corretta. Per un’azienda è fondamentale comprendere i rischi associati alla migrazione e all'infrastruttura del fornitore di soluzioni cloud. Per questa valutazione i team DevOps devono porsi diverse domande. Innanzitutto, qual è la responsabilità condivisa del progetto? Occorre considerare tutti coloro che utilizzeranno questa soluzione e chi avrà il compito di mantenerla in funzione una volta avviata. In secondo luogo, quali controlli possono essere effettuati con l'infrastruttura attuale e quali devono essere implementati? Una volta che il progetto di protezione dei carichi di lavoro nel cloud è in fase di esecuzione attiva, occorre prendere nota delle funzionalità di sicurezza che si è in grado di implementare immediatamente e di quali misure mancano ancora. Infine, quali controlli di sicurezza sono in linea con la gestione del rischio? Una volta completata la valutazione iniziale, bisogna appurare di aver assegnato controlli di sicurezza adeguati per essere allineati alle iniziative di gestione del rischio.
Riconoscere i rischi potenziali
I criminali informatici stanno spostando i loro attacchi verso ambienti virtualizzati e, più specificamente, verso Linux. In primo luogo, questo succede perché più dell'80% dei carichi di lavoro residenti in ambienti cloud/hybrid cloud (sia server sia container) girano su distribuzioni basate su Linux, essendo questi ambienti più efficienti e facili da gestire. Sono però anche più generici e stereotipati, il che rende più semplice per i criminali informatici imitare un ambiente. In secondo luogo, i carichi di lavoro basati su Linux sono i più trascurati in qualsiasi infrastruttura: trattandosi di un ambiente open-source, molti non ritengono la protezione Linux una loro responsabilità. Infine, la maggior parte Yasser Fuentes
delle distribuzioni è ospitata nel regno dell'open-source, quindi non c'è un vero impegno a fornire aggiornamenti e patch di sicurezza. Quando distribuiscono una soluzione in un ambiente Linux/open-source, i team DevOps devono essere consapevoli dei rischi anche sul lungo periodo.
Sicurezza in tutte le fasi
Tenendo conto di queste informazioni, esistono dei passaggi chiave per creare e distribuire ambienti virtualizzati più sicuri. Quando si sviluppa un'iniziativa DevOps, verificare che la sicurezza sia stata prevista in ogni fase della pipeline di distribuzione. È importante considerare funzionalità di rilevamento e la risposta gestiti (Mdr) e di rilevamento e risposta estesi (Xdr) durante la fase di pre-distribuzione per valutare in modo proattivo minacce, configurazioni errate e vulnerabilità. Successivamente, quando i container sono pronti per l'esecuzione, assicurarsi di proteggere la fase di runtime. Senza questo passaggio i container rimangono vulnerabili in caso di violazione. È necessario essere responsabili dei dati che le proprie applicazioni elaborano all'interno del cloud, siano essi di proprietà o meno. Quando si adotta una tecnologia sviluppata da altri, la protezione dei dati ospitati è una responsabilità condivisa. Ognuno di questi passaggi garantirà ambienti più affidabili e di facile utilizzo. I controlli di sicurezza dovrebbero essere in linea con i processi e lo sviluppo del prodotto, e non dovrebbero essere sacrificati solo per ottenere una distribuzione più rapida o efficiente. Comprendendo come proteggere al meglio le iniziative DevOps, i team di sviluppo riusciranno a creare ambienti container migliori e più sicuri.
Yasser Fuentes, technical product manager cloud di Bitdefender
FORMAZIONE, UN INVESTIMENTO CHE DÀ BUONI FRUTTI
Competenze e consapevolezza sono la prima arma di difesa contro i rischi cyber. Vittorio Bitteleri, country manager di Cyber Guru, spiega la metodologia messa a punto dalla sua azienda.
Addestrare le persone a riconoscere una minaccia cyber, come una email di phishing o un’anomalia nella navigazione online, sta diventando una delle priorità più sentite dai responsabili della cybersecurity. E non solo da loro, ma anche da funzioni del business come le risorse umane e la direzione. Perché è importante la formazione in ambito cybersecurity, e come approcciarsi a essa? Abbiamo affrontato il tema con Vittorio Bitteleri, country manager di Cyber Guru, società specializzata nella realizzazione di percorsi di apprendimento sulla cybersecurity che ha sviluppato una propria metodologia innovativa.
Che cosa è cambiato negli ultimi due anni?
La pandemia ha aumentato l’orario di esposizione dei dipendenti all’utilizzo di device IT, e questo ha reso le persone molto più vulnerabili agli attacchi cyber. Nelle nostre sessioni di addestramento con template di phishing simulato abbiamo visto come le persone siano oggi particolarmente sensibili ad alcune informazioni “esca”, utilizzate dagli attaccanti. La formazione
Vittorio Bitteleri continua è quindi un aiuto determinante, per rendere le persone la prima difesa aziendale: un percorso formativo evoluto può stimolare i dipendenti a diventare prima barriera di difesa, a prevenire le compromissioni dei device, anche quelli di utilizzo personale.
Quale è la metodologia sviluppata da Cyber Guru?
Il nostro obiettivo è quello di migliorare i cambiamenti delle persone. Questo non è immediato, ci vuole tempo, una formazione “omeopatica”, in piccole dosi ma molto efficace. Abbiamo approcciato questo tema con un aspetto metodologico nuovo, lavorando molto sull’andragogia, ossia sull’insegnamento rivolto a persone adulte che hanno un livello di attenzione basso, non superiore ai cinque-sette minuti. Grazie a un team multidisciplinare, che considera anche aspetti psicologici e comunicativi (oltre, ovviamente, a quelli del dominio cyber), abbiamo sviluppato un percorso formativo per aiutare gli utenti a percepire il rischio nascosto dietro al monitor. Concetti di gamification e video “Netflix-like” consentono al discente di immedesimarsi nelle situazioni proposte, il coinvolgimento e la narrazione aiutano l’apprendimento, mostrando come anche un comportamento normale (per esempio, l’uso di una rete Wi-Fi pubblica non protetta da password) possa portare a un evento nefasto. Una volta visto che cosa accade al protagonista, l’utente presterà maggiore attenzione in futuro. Nel programma formativo di Cyber Guru i concetti sono appresi da lezione a lezione , l’attenzione si mantiene alta con l’addestramento esperienziale. Stimoliamo in modo continuativo l’utente alla ricezione di email di phishing con livelli di difficoltà adeguati alla sua preparazione.
Qual è il reale ritorno di un percorso formativo?
I nostri clienti, grazie anche al fatto che ci siamo dotati della certificazione ISO 9000 2015, possono ottenere incentivi come quelli previsti dal piano Transizione 4.0 o Pnrr (con il meccanismo del credito d’imposta fino al 50% dell’investimento) o anche il rimborso totale tramite i fondi interprofessionali. A parte l’aspetto meramente economico, il vero ritorno sull’investimento in formazione è il cambio posturale dell’organizzazione di fronte agli attacchi cyber. Con un benchmark sulla platea dei clienti, abbiamo visto che a distanza di un anno il click rate e la postura migliorano e i comportamenti non virtuosi si dimezzano.
INTELLIGENCE E AUTOMAZIONE, I MIGLIORI ALLEATI
Per le aziende è sempre più importante dotarsi di una corretta gestione del rischio informatico e ottimizzare il lavoro dei Security Operation Center.
Quali sono, oggi le priorità dei responsabili della cybersicurezza aziendali? E quali tecnologie possono fare la differenza? Ne abbiamo parlato con Giancarlo Marengo, country manager di Mandiant Italy.
Nell’agenda dei chief information security officer, oggi, quali sono le priorità?
Negli ultimi due anni, a causa della pandemia, delle minacce informatiche e dell’aumento degli attacchi ransomware, le aziende hanno compiuto investimenti dedicati alla sicurezza informatica, realizzati sia in tecnologia sia in persone. Quest’anno una priorità chiave per i Ciso dovrebbe essere ottimizzare questi investimenti. I Ciso devono anche mantenere il dialogo sul rischio informatico e sull’impatto che le misure proattive e reattive hanno sul profilo di rischio di un’organizzazione. Il rischio informatico può essere un grande problema.
E come lo possiamo affrontare?
Per gestire il rischio informatico con successo le organizzazioni dovrebbero concentrare gli sforzi sull’identificare le minacce più importanti e sul fare in modo che queste informazioni integrino il profilo di rischio cyber operativo dell’azienda. Alcuni esempi: misurare e migliorare la capacità di hunting; gestire la vulnerabilità con le capacità di assegnare un punteggio e identificare rapidamente quelle più pericolose per un settore e attività specifici. L’obiettivo di una corretta gestione del rischio informatico è aiutare a far emergere le minacce e vulnerabilità di cui l’organizzazione dovrebbe preoccuparsi maggiormente e che hanno la potenzialità di causare un impatto significativo.
In tutto questo, qual è il ruolo della threat intelligence?
I Ciso possono essere supportati dai controlli forniti dalle tecnologie che hanno acquistato, ma per contrastare efficacemente le nuove minacce hanno anche bisogno delle giuste competenze e della più recente intelligence sulle minacce. La cosa più importante è che l’intelligence deve essere actionable, cioè in grado di innescare azioni concrete per verificare o incrementare la sicurezza in risposta a un allarme. È importante che un servizio di threat intelligence abbia anche una capacità immediata di investigazione o di risposta agli incidenti, codificata all’interno dei processi dell’organizzazione con Service Level Agreement misurabili che diventano una vera e propria appendice della piattaforma Giancarlo Marengo
di intelligence utilizzata. Infine, oltre a intraprendere un’azione, è necessario misurare l’efficacia dell’azione stessa attraverso una validazione esterna.
Come migliorare l’efficacia dei Security Operation Center?
L'automazione e l’intelligenza artificiale possono aiutare a riconoscere le attività malevole nel luogo in cui avvengono, per esempio comandi dannosi impartiti su sistemi compromessi, o i file sospetti inviati via email o scaricati. Inoltre possono a rendere scalabile la gestione del volume degli alert ricevuti dal Security Operation Center aziendale. L’automazione aiuta anche nell’analisi, consentendo di classificare grandi quantità di dati come collezioni di file, di elaborarli e di identificare quelli dannosi, mantenendo al minimo i falsi positivi. Lo stesso può essere fatto, ad esempio, con gli Url e con altri vettori d’attacco. Quando le organizzazioni usano l’automazione per rilevare e rispondere agli incidenti alla velocità della macchina, questo innesca un circolo virtuoso: i SoC sono in grado di rispondere agli allarmi di sicurezza in maniera tempestiva; le preziose (e generalmente scarse) risorse umane vengono impiegate al meglio e gli analisti svolgono un lavoro più stimolante e più coerente con le loro competenze; inoltre l’azienda può permettersi di analizzare un valore di dati ancora più elevato senza incorrere in congestioni.
IL CONTRIBUTO DEL CLOUD ALLA SOVRANITÀ DIGITALE
Secondo il World Economic Forum, la sovranità digitale si riferisce alla "capacità di detenere il controllo sul proprio destino digitale, ovvero sui dati, sull'hardware e sul software che hai creato e sul quale fai affidamento". Mentre i dati continuano a crescere in modo esponenziale e le aziende moderne si affidano sempre più alle piattaforme digitali, l'esigenza di una sovranità digitale tra le nazioni è in aumento. Il World Economic Forum ha stimato che oggi oltre il 92% dei dati nel mondo occidentale è archiviato su server di società con sede negli Stati Uniti. Le preoccupazioni legate al controllo e alla privacy di questi dati da parte dei governi europei sono state determinanti per l'introduzione del Gdpr, il Regolamento generale per la protezione dei dati personali. Tuttavia, è stato solo nel 2020, quando la Corte di Giustizia dell'Unione Europea ha dichiarato invalido il Privacy Shield tramite la sentenza Schrems II, che la sovranità digitale è diventata un argomento di discussione urgente nelle grandi imprese e nel settore pubblico. Il Privacy Shield rappresentava una struttura di protezione giuridica globale all'interno del quale le imprese internazionali potevano elaborare e trasferire i dati in tutta sicurezza tra l'Unione Europea e gli Stati Uniti. Si stima che siano state colpite dalla sentenza oltre cinquemila società, le loro filiali e i fornitori, impattando una percentuale importante dei 1.300 miliardi di dollari a cui ammonta il commercio transatlantico annuale.
L'impatto della sovranità digitale
La sovranità digitale ha sollevato interrogativi tra i direttori IT in merito alla strategia cloud, la governance e la gestione del rischio. La sfida non riguarda solo la posizione geografica dei dati sensibili, ma anche chi vi ha accesso all'interno di un'organizzazione. Ad esempio, secondo la sentenza Schrems II, se un dipendente con sede negli Stati Uniti accede a dati sensibili protetti dall'Ue all'interno della propria azienda, questo accesso può essere considerato una "esportazione" di dati sensibili e una violazione del Gdpr. Le aziende devono dunque individuare e adottare le misure supplementari necessarie per portare la protezione dei dati trasferiti tra giurisdizioni sovrane al livello richiesto dalla legislazione locale. Per quanto riguarda il cloud, tuttavia, questo è più facile a dirsi che a farsi. Le aziende si affidano a una miriade di servizi cloud. Secondo la nuova “Relazione sulle minacce verso i dati” del 2022, redatta da 451 Research per Thales, il 34% delle aziende a livello globale utilizza almeno 50 applicazioni SaaS, mentre il 17% ne usa più di 100. I dati sensibili passano attraverso la Luca Calindri
maggior parte di queste piattaforme, creando un ambiente che, secondo metà degli intervistati, rende più complesso gestire la privacy e le norme di protezione dei dati nel cloud rispetto alle reti on-premise.
Dati, software e sovranità operativa
Per quanto riguarda una strategia cloud efficace, secondo Thales sono tre i pilastri principali che supportano gli obiettivi di sovranità digitale. In particolare, sovranità dei dati significa mantenere il controllo sulla crittografia e sull'accesso. Ciò impedisce ai dati sensibili di cadere nelle mani di estranei senza che vi sia una esplicita autorizzazione, e garantisce il rispetto delle norme. Poi, la sovranità operativa offre all'azienda visibilità e controllo sulle operazioni del fornitore. In questo modo gli utenti malintenzionati o i processi dannosi non possono accedere o impedire di accedere a dati preziosi, come nel caso di attacchi ransomware o accessi degli utenti privilegiati. Infine, la sovranità del software porta a eseguire carichi di lavoro senza dipendere dal software di un fornitore.
Luca Calindri, country sales manager Italy & Malta, Data Protection division di Thales
CONOSCERE LE MINACCE PER UNA DIFESA EFFICACE
Awareness, prevenzione e automazione sono le strategie migliori per riuscire ad anticipare le mosse degli attaccanti. Ma senza trascurare la risposta rapida agli incidenti.
La chiave per una buona difesa sta nel conoscere e prevedere le mosse dell’attaccante. Anche in ambito cybersecurity, infatti, il fattore umano fa la differenza: ancor prima di analizzare il tool utilizzato per far breccia nei sistemi, occorre comprendere metodi, tecniche, tattiche e intenti degli attaccanti, per capire quale sarà il prossimo passo. Il panorama delle minacce oggi è variegato e affollato. I numerosi criminali informatici conoscono una molteplicità di modi per ottenere l’accesso agli ambienti dell’organizzazione finita nel mirino, senza contare i diversi tool con cui possono automatizzare la progressione dell’attacco. Andando, però, ad analizzare tutti questi elementi e le relazioni che intercorrono tra di essi, ci si trova di fronte a un set relativamente piccolo di metodi, che si evolve lentamente nel tempo. L’analista di sicurezza deve, dunque, partire dalla comprensione di questi metodi e delle relative contromisure, facendo riferimento a matrici come il MITRE Att&ck e il più recente D3fend, e adottare un linguaggio comune che faciliti la condivisione di informazioni e renda il processo più efficace. Quando si ragiona in ottica di difesa preventiva, proattiva e reattiva, un approccio simile consente di ottimizzare le attività di threat intelligence, utili ad anticipare le mosse dell’attaccante attraverso tutta la catena di attacco. È altrettanto importante utilizzare lo stesso mindset in attività di threat hunting e difesa proattiva: in questi casi si commette spesso l’errore di concentrarsi unicamente sull’indicatore dell’attacco, mentre occorre chiedersi anche come, dove e perché si sia sviluppato, indagando sull’intera organizzazione. Nella fase di risposta all’incidente, riuscire a unire i puntini velocemente significa aver tempo per anticipare le future mosse dell’attaccante.
Affiancare agli analisti le giuste tecnologie
In questo compito gli analisti non vanno lasciati da soli: devono essere affiancati da tecnologie all’avanguardia come quelle di Vectra AI, che utilizza un approccio al rilevamento delle minacce focalizzato sull’analisi e sull’individuazione del metodo, delle tattiche e del comportamento messi in atto, correlando queste informazioni per mostrare velocemente all’analista la progressione dell’attacco e l’obiettivo dei suoi autori. La tecnologia di Vectra AI è anche quella con il maggiro numero di brevetti citati all’interno del nuovo framework MITRE D3fend, che mappa le necessarie contromisure alle tecniche di attacco. Oggi la causa principale di data breach resta la compromissione delle identità e degli account, soprattutto in ambienti ibridi. Anche Alessio Mercuri
sotto questo aspetto, la tecnologia può aiutare analisti e organizzazioni attraverso la prevenzione. I report ci dicono che a fornire all’attaccante la via d’accesso all’infrastruttura aziendale sono spesso le configurazioni errate. Grazie alla recente acquisizione della società Siriux, Vectra AI è in grado di ridurre la superficie di attacco analizzando automaticamente la postura di sicurezza dell’ambiente Microsoft365. Siriux scansiona le configurazioni di sicurezza di ogni servizio abilitato nel tenant M365 e la configurazione di ogni utente all’interno di questi servizi, alla ricerca di configurazioni errate che potrebbero rendere l’organizzazione vulnerabile ad attacchi come Dark Halo e Nobelium. Inoltre, al fine di poter rilevare attacchi che coinvolgono ambienti ibridi, c’è bisogno di una tecnologia capace di correlare autonomamente gli eventi e a comprendere l’estensione dell’intrusione, aiutando l’analista e l’organizzazione a rispondere in maniera veloce. Risposte che devono far leva sempre più sull’automazione, con tecnologie in grado di integrarsi tra di loro e di essere gestite da strumenti di orchestrazione e dai playbook in essi creati.
